iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。
0x01:安装iptables
#yum install iptables-services
0x02:关闭firewall
#systemctl stopfirewalld.service
#systemctl disablefirewalld.service
0x03:查看iptables现有规则
#iptables -L
0x04:清空所有默认规则
#iptables -F
清空所有自定义规则
#iptables -X
所有计数器清零
#iptables -Z
0x05:允许来自于lo接口的数据包本地访问
#iptables -A INPUT -I lo -jACCEPT
0x06:指定开放22端口
#iptables -A INPUT -p tcp–dport 22 -j ACCEPT
0x07:禁止123.23.1.2 IP地址访问
#iptables -A INPUT -p tcp-dport 22 -j DROP
0x08:开放固定IP访问8080
#iptables -I INPUT -s111.101.90.110 -p tcp –dport 8080 -j ACCEPT
0x08:禁止ping
#iptables -A INPUT -p icmp–icmp-type 8 -s 0/0 -j DROP
0x09:添加内网IP信任
#iptables -A INPUT -p tcp -s10.0.0.3 -j ACCEPT
0x10:允许接受本机请求之后的返回数据RELATED
#iptables -A INPUT -m state–state RELATED,ESTABLISHED -j ACCEPT
0x11:限制流量
#iptables -A INPUT -I eth0-m limit –limit 5/m –limit-burst 15 -j ACCEPT
0x12:特定时间内匹配
#iptables -A INPUT -i eth0-m time –weekdays 1,3,5 -j ACCEPT
0x13:匹配符合规则的TTL值得数据包
#iptables -A OUTPUT -m ttl–ttl-eq 51 -j ACCEPT
0x14:匹配指定的状态数据包
#iptables -A INPUT -m state –stateNEW,ESTABLISHED -j ACCETP
0x15:匹配带有指定的mark值的数据包
#iptables -t mangle -A INPUT-m mark –mark 1 -j DROP
0x16:匹配指定的mac地址
#iptable -A FORWARD -m mac –mac-source00:0C:22:38:49:61 -j DROP
0x17:映射端口(将mysql默认的3306端口映射到1306对外提供服务)
#iptables -t mangle -IPREROUTING -p tcp -dport 1306 -j MARK –set-mark 3306
0x18:过滤所有非以上规则的请求
#iptables -P INPUT DROP
0x19:保存iptables规则
#service iptables save
0x20:自动开启iptables服务
#systemctl enableiptables.service
0x21:查看状态
#systemctl status iptables.service
总结:iptables的功能很强大,熟悉常用参数组合,可以满足不同场景需求的防护,理解iptables的构成,可以更好的去使用防火墙规则,去控制进出流量和限速处理。
来源:freebuf.com 2020-03-08 21:35:30 by: 凯信特安全团队
请登录后发表评论
注册